Is toegang tot krijgen tot andermans account een data lek?

Hoe krijg je toegang dan?

In de basis klinkt dit mij meer als user-error in de oren dan kwaadwillendheid van het bedrijf. Neemt niet weg dat ze hier iets aan kunnen doen (hetzij slechts in beperkte mate), waardoor ik een opmerking als

CyberFly schreef op woensdag 29 mei 2019 @ 15:36:
Het bedrijf zelf mail heeft natuurlijk geen zin, ze weten donders goed dat hun procedure niet goed is.

dan ook heel vreemd vind.... Tenzij je al contact hebt gehad met het betreffende bedrijf en dit hun antwoord was. Anders is het gewoon een flinke aanname van jou kant die ik eerlijk gezegd nogal vergezocht vind.

Mompel iets betreft AVG

Meestal het benoemen van AVG al voldoende motivatie zonder daadwerkelijk (nog) een melding te maken.
Eigenlijk heb je een meldplicht op datalekken te melden

Een terechte melding is zo gedaan immers.

[ Voor 14% gewijzigd door osmosis op 29-05-2019 15:42 ]

Hoe is iets een datalek als de gebruiker aangeeft dat dat e-mailadres voor communicatie gebruikt mag worden?

Dat mensen jouw e-mailadres invullen in plaats van een ander e-mailadres is natuurlijk geen datalek, dat is de fout van de gebruiker zelf.

Dit snap ik overigens niet:

Oorzaak van het probleem is duidelijk, slecht design van de aanmeldingsprocedure.

Waarom vind jij dit een kwestie van slecht design? Als jij en ik allebei Cyber Fly heten, maar jij hebt cyberfly@gmail.com en ik heb cyberfly2@gmail.com, dan is het toch mijn eigen fout als ik per ongeluk cyberfly@gmail.com invul op een website? Wat kan die website daar precies aan doen?

[ Voor 4% gewijzigd door Hahn op 29-05-2019 15:45 ]

Dat wil overigens niet zeggen dat wanneer iemand per ongeluk zijn deur open laat staat je dan zijn huis binnen mag. Oftewel, nu iemand een fout heeft gemaakt wil niet zeggen dat je er gebruik van mag maken. Gewoon verwijderen dus of de oorspronkelijke ontvanger op de hoogte stellen.

Hahn schreef op woensdag 29 mei 2019 @ 15:44:
Wat kan die website daar precies aan doen?

Wat zoveel websites doen: Je vragen je account te activeren via je e-mail adres voordat je kan inloggen.
(Tijdelijk wachtwoord etc etc).

Dit is geen data lek in mijn ogen maar, ik ga wel mee in het kopje slecht design.

ex87 schreef op woensdag 29 mei 2019 @ 15:50:
[...]


Wat zoveel websites doen: Je vragen je account te activeren via je e-mail adres voordat je kan inloggen.
(Tijdelijk wachtwoord etc etc).

Dit is geen data lek in mijn ogen maar, ik ga wel mee in het kopje slecht design.

Als ik per ongeluk cyberfly@gmail.com in plaats van cyberfly1@gmail.com intik, dan krijgt Cyber Fly de mail en kan hij mijn account activeren.

Met een activatiemail kom je er waarschijnlijk wel eerder achter dat er iets fout is gegaan, maar je voorkomt niks.

Het komt erop neer dat het bedrijf geen links in de e-mails moet zetten waarmee de gebruiker in een keer is ingelogd. Dat is het onveilige ontwerp wat hier aan de hand is lijkt me.

CurlyMo schreef op woensdag 29 mei 2019 @ 15:46:
Dat wil overigens niet zeggen dat wanneer iemand per ongeluk zijn deur open laat staat je dan zijn huis binnen mag. Oftewel, nu iemand een fout heeft gemaakt wil niet zeggen dat je er gebruik van mag maken. Gewoon verwijderen dus of de oorspronkelijke ontvanger op de hoogte stellen.

Dat is wel zo netjes, maar dit staat los van de TS of dit een datalek is.

Als ik hier nu mijn user/wachtwoord van T.net neergooi, kan iedereen inloggen, maar is voor T.net zeker geen datalek.

Oorzaak van het probleem is duidelijk, slecht design van de aanmeldingsprocedure.

Welk design had jij verwacht die userinput kan afvangen? 99% werkt met een emailadres, of dit nu de username is, of bevestiging/reset van is, hoe wil je dit als 'design' dan afvangen?

Enige discussie die je kan voeren is dat er geen 'account activatie' principe achter hangt, maar om dat nu slecht design te vinden..

Hahn schreef op woensdag 29 mei 2019 @ 15:53:
[...]

Als ik per ongeluk cyberfly@gmail.com in plaats van cyberfly1@gmail.com intik, dan krijgt Cyber Fly de mail en kan hij mijn account activeren.

Met een activatiemail kom je er waarschijnlijk wel eerder achter dat er iets fout is gegaan, maar je voorkomt niks.

Natuurlijk wel. Als je als onderdeel van je account registratie proces een verificatie stap toevoegt komt iemand voordat je toegang krijgt tot persoonsgegevens dat het een fout e-mail adres is.

Genoeg websites laten je geen data toevoegen zonder activatie.

MrThompson schreef op woensdag 29 mei 2019 @ 15:54:
Het komt erop neer dat het bedrijf geen links in de e-mails moet zetten waarmee de gebruiker in een keer is ingelogd. Dat is het onveilige ontwerp wat hier aan de hand is lijkt me.

Als je je e-mail zelf fout invult, dan kan de ander sowieso in jouw account, of er nou gebruik gemaakt wordt van een one-time-login link of niet.

ex87 schreef op woensdag 29 mei 2019 @ 15:55:
[...]

Natuurlijk wel. Als je als onderdeel van je account registratie proces een verificatie stap toevoegt komt iemand voordat je toegang krijgt tot persoonsgegevens dat het een fout e-mail adres is.

Genoeg websites laten je geen data toevoegen zonder activatie.

En dat is alsnog achteraf, niet vooraf. Natuurlijk helpt die activatiestap, dat spreek ik niet tegen. Maar het lost het probleem niet op, het zorgt er alleen voor dat de fout eerder aan het licht komt. Maar dan kan iemand anders alsnog met jouw account (waar al dan niet iets in staat) inloggen.

[ Voor 43% gewijzigd door Hahn op 29-05-2019 15:58 ]

SinergyX schreef op woensdag 29 mei 2019 @ 15:54:
[...]

Dat is wel zo netjes, maar dit staat los van de TS of dit een datalek is.

Als ik hier nu mijn user/wachtwoord van T.net neergooi, kan iedereen inloggen, maar is voor T.net zeker geen datalek.

Helemaal waar, maar vond het toch goed om even dat appel te doen

ex87 schreef op woensdag 29 mei 2019 @ 15:55:
[...]


Natuurlijk wel. Als je als onderdeel van je account registratie proces een verificatie stap toevoegt komt iemand voordat je toegang krijgt tot persoonsgegevens dat het een fout e-mail adres is.

Genoeg websites laten je geen data toevoegen zonder activatie.

Die activatie gaat 9 van de 10 keer via de mail

Ook al zou het wachtwoord niet verstuurd worden dan nog kan je een wachtwoord vergeten doen en wordt er weer een mail verstuurd zodat je toch weer toegang krijgt.

ex87 schreef op woensdag 29 mei 2019 @ 15:50:
[...]


Wat zoveel websites doen: Je vragen je account te activeren via je e-mail adres voordat je kan inloggen.
(Tijdelijk wachtwoord etc etc).

Dit is geen data lek in mijn ogen maar, ik ga wel mee in het kopje slecht design.

één van mijn spam adressen krijgt bijna dagelijks mail met bestelling-bevestigingen, verzoekjes tot het invullen van klanttevredenheid, en zelfs al een overzicht gekregen van zijn hypotheekstanden ( door zijn wederhelft doorgestuurd naar dat mailadres )

De eerste keren dacht ik WTF ... sushi besteld ? nee ...
maar 2 weken later - hetzelfde, met een GPS track en tijd van verwachte aankomst.
Ook pizza ( domino's )

Al een keer een reply naar de dame in kwestie gedaan, maar vorige week alweer een foto-collage besteld voor opa en oma op texel ...

De eerst volgende keer dat ze sushi bestellen, cancel ik de order gewoon

ex87 schreef op woensdag 29 mei 2019 @ 15:55:
[...]


Natuurlijk wel. Als je als onderdeel van je account registratie proces een verificatie stap toevoegt komt iemand voordat je toegang krijgt tot persoonsgegevens dat het een fout e-mail adres is.

Genoeg websites laten je geen data toevoegen zonder activatie.

De kans is eerder dat die persoon pissed off is dat hij niet verder kan 'omdat er geen mail komt', waarschijnlijk gewoon elders weer verder gaat. Veel webshops kan je afrekenen zonder account en achteraf eentje aanmaken, die data staat er dan al in (zelfs al voor activatie), anderen laten je account aanmaken, verder gaan en pas later activeren om er echt mee te werken, wederom staat gros van de data er al.

Ik ken maar weinig sites die account laten aanmaken zonder enige gegevens, activeren, en dan pas alles laten invoeren.

FreshMaker schreef op woensdag 29 mei 2019 @ 16:02:
[...]

De eerst volgende keer dat ze sushi bestellen, cancel ik de order gewoon

Gewoon het adres laten aanpassen

Brummetje schreef op woensdag 29 mei 2019 @ 15:57:
[...]


Die activatie gaat 9 van de 10 keer via de mail

Ook al zou het wachtwoord niet verstuurd worden dan nog kan je een wachtwoord vergeten doen en wordt er weer een mail verstuurd zodat je toch weer toegang krijgt.

Maar het punt is dat het een controle slag is voor de originele gebruiker.
Zonder dat krijgt hij nooit zijn eigen account geactiveerd krijgt.
En er dus waarschijnlijk zelf wel achteraangaat.

Anders merkt hij dat nooit. en komt er pas met een wachtwoordreset achter dat het niet werkt.

Overigens zit aan alles een nadeel.
Ik ben laatst 2 maanden bezig geweest om het email adres gekoppeld aan een bepaald account te laten veranderen. Dat kon alleen door een activatie link te gebruiken in een mail naar het oude adres (Wat al ruim een jaar niet meer bestond). En een service desk die alleen maar kan aangeven dat dat "policy is".

Bas170 schreef op woensdag 29 mei 2019 @ 16:05:
[...]


Gewoon het adres laten aanpassen

Tja, ze wonen in de omgeving Haarlem, denk niet dat die Sushinees naar Brabant komt op zijn brommertje

FreshMaker schreef op woensdag 29 mei 2019 @ 16:02:
[...]


één van mijn spam adressen krijgt bijna dagelijks mail met bestelling-bevestigingen, verzoekjes tot het invullen van klanttevredenheid, en zelfs al een overzicht gekregen van zijn hypotheekstanden ( door zijn wederhelft doorgestuurd naar dat mailadres )

De eerste keren dacht ik WTF ... sushi besteld ? nee ...
maar 2 weken later - hetzelfde, met een GPS track en tijd van verwachte aankomst.
Ook pizza ( domino's )

Al een keer een reply naar de dame in kwestie gedaan, maar vorige week alweer een foto-collage besteld voor opa en oma op texel ...

De eerst volgende keer dat ze sushi bestellen, cancel ik de order gewoon

Niet cancellen. gewoon de order vervangen door 2 kg taugee ofzo

@FreshMaker hoeft niet naar jouw adres, kan ook naar een random adres in die wijk.
Is eigenlijk ook veel leuker, dan heeft iemand onverwachts gratis sushi

[ Voor 4% gewijzigd door Bas170 op 29-05-2019 16:07 ]

heuveltje schreef op woensdag 29 mei 2019 @ 16:06:
[...]


Niet cancellen. gewoon de order vervangen door 2 kg taugee ofzo

Ik heb echt zitten twijfelen om de foto-collage voor opa en oma te vervangen met chicken.pdf ....
Maar vond het nét een stap te ver gaan

heuveltje schreef op woensdag 29 mei 2019 @ 16:05:
[...]


Maar het punt is dat het een controle slag is voor de originele gebruiker.
Zonder dat krijgt hij nooit zijn eigen account geactiveerd krijgt.
En er dus waarschijnlijk zelf wel achteraangaat.

Anders merkt hij dat nooit. en komt er pas met een wachtwoordreset achter dat het niet werkt.

Overigens zit aan alles een nadeel.
Ik ben laatst 2 maanden bezig geweest om het email adres gekoppeld aan een bepaald account te laten veranderen. Dat kon alleen door een activatie link te gebruiken in een mail naar het oude adres (Wat al ruim een jaar niet meer bestond). En een service desk die alleen maar kan aangeven dat dat "policy is".

Je denkt er iets te makkelijk over. Stel jij doet ergens een registratie en krijgt geen mailtje dan is de kans erg groot dat je het gewoon nogmaals probeert en dan wel het goede email adres invult. Helemaal er niet bij stil staan dat je de eerste keer misschien wel een verkeerde hebt ingevoerd. Het ligt dan natuurlijk even aan de website hoeveel gegevens je bij de registratie al moet invullen qua wat persoonlijk is.

Het bedrijf zou een check kunnen doen op het veld e-mailadres. Dat je deze 2x moet invullen. Ter verificatie. Maar dan heb je er nog steeds mensen bij die het tot 2x toe verkeerd invullen.

XNL073 schreef op woensdag 29 mei 2019 @ 16:22:
Het bedrijf zou een check kunnen doen op het veld e-mailadres. Dat je deze 2x moet invullen. Ter verificatie. Maar dan heb je er nog steeds mensen bij die het tot 2x toe verkeerd invullen.

CTRL + C, CTRL + V

1. laat klant username + password + email invullen
2. Stuur activatie link naar email
3. Klant klikt op activatie link
4. Klant moet username + password invullen om activatie te voltooien

heuveltje schreef op woensdag 29 mei 2019 @ 16:20:
[...]


Maar hoe wil je dat voorkomen ? Ik kan als website toch niet ruiken welk email adres jij wel hebt ?
Dit is niet meer dan een controle Dat je iig een sein geeft tijdens het aanmaken dat je iets verkeerd hebt ingevuld. Dat is al beter dan dat je dat sein pas krijgt op het moment dat je en het wachtwoord kwijt bent, en al x jaar persoonlijke data hebt ingevuld.

Ik heb nooit gezegd dat het de oplossing is.

Vrij eenvoudig.

- 2 keer je email adres in vullen net als bij het wachtwoor (dit is echter niet gebruikelijk).
- Pas gevoelige gegevens in laten vullen op het moment dat het account actief is en je ingelogd bent (dit zou de oplossing zijn en dan maakt het ook weinig uit als iemand anders jou activatie mailtje krijgt).

CappieL schreef op woensdag 29 mei 2019 @ 16:25:
[...]


CTRL + C, CTRL + V

Ook dat is af te vangen door een websitebouwer

XNL073 schreef op woensdag 29 mei 2019 @ 16:27:
[...]


Ook dat is af te vangen door een websitebouwer

Brrr nee, dat is pas slecht design.

Maak dan gelijk een site met een rechtsklik copyright-alert in Javascript

[ Voor 16% gewijzigd door Basszje op 29-05-2019 16:50 ]

Hahn schreef op woensdag 29 mei 2019 @ 15:44:
Wat kan die website daar precies aan doen?

De infameuse 'vul nogmaals uw e-mail adres' vraag in het formulier opnemen

Hahn schreef op woensdag 29 mei 2019 @ 15:55:
[...]

Als je je e-mail zelf fout invult, dan kan de ander sowieso in jouw account, of er nou gebruik gemaakt wordt van een one-time-login link of niet.

Nou, niet per se. Als je op de website zelf een wachtwoord + mail-adres invult, en je enkel de activatie doet via mail maar het inloggen d.m.v. het wachtwoord, zal iemand als CyberFly niks met de activatiemail kunnen.

XNL073 schreef op woensdag 29 mei 2019 @ 16:27:
Ook dat is af te vangen door een websitebouwer

Wat poep-irritant is voor diegenen onder ons die een wachtwoord-manager hebben. Dus liever niet.

[ Voor 21% gewijzigd door bwerg op 29-05-2019 17:06 ]

bwerg schreef op woensdag 29 mei 2019 @ 17:04:
[...]

Nou, niet per se. Als je op de website zelf een wachtwoord + mail-adres invult, en je enkel de activatie doet via mail maar het inloggen d.m.v. het wachtwoord, zal iemand als CyberFly niks met de activatiemail kunnen.

Ware het niet dat veel websites een "password forgotten" linkje aanbieden waar Cyberfly dan wel weer mee aan de gang gaat. zonder al teveel moeite werkte dit ook op een bekende crypto-site; daar heb ik dan wel even netjes melding van gemaakt trouwens maar had er ook zelfbelang bij

Volgens mij is alles al wel gezegd; mensen die te simpel zijn om hun mail-adres ergens correct in te vullen (bij herhaling), daar kan je weinig tot amper niets tegen doen als aanbieder van de website.

[ Voor 11% gewijzigd door MAX3400 op 29-05-2019 17:08 ]

bwerg schreef op woensdag 29 mei 2019 @ 17:04:
[...]

Nou, niet per se. Als je op de website zelf een wachtwoord + mail-adres invult, en je enkel de activatie doet via mail maar het inloggen d.m.v. het wachtwoord, zal iemand als CyberFly niks met de activatiemail kunnen.

Activatie is bijna altijd alleen maar door middel van een link aan te klikken. Daarna kan je wachtwoord reset aanvragen en kan je alsnog het account in. Als je het e-mailadres bezit waar het account op geregistreerd staat, dan kan je er vrijwel altijd in (tenzij er Two Factor Authentication ingesteld staat).

CyberFly schreef op woensdag 29 mei 2019 @ 16:18:
Hoe krijg ik toegang?
Er is een account aangemaakt en de mail gaat naar mij. In sommige gevallen krijg ik een tijdelijk password in andere gevallen kan ik een reset aanvragen.

Hoe gaat het fout?
Een account aanmaken is simpel, vul email en password in. Je zit nu direct op de site en kan je NAW gegevens invullen. Ondertussen ontvang ik email en zo krijg ik controle over het account.

Dit is geen foutje maar een bewuste keuze. Daarom mijn vraag waar ik dit kan melden zodat het bedrijf er iets aan moet doen.

Ja dat is een datalek voor het bedrijf in kwestie en waarschijnlijk computervredebreuk door jou.

Mail het bedrijf en gooi gewoon die mails weg.

CyberFly schreef op woensdag 29 mei 2019 @ 16:18:
Hoe krijg ik toegang?
Er is een account aangemaakt en de mail gaat naar mij. In sommige gevallen krijg ik een tijdelijk password in andere gevallen kan ik een reset aanvragen.

Hoe gaat het fout?
Een account aanmaken is simpel, vul email en password in. Je zit nu direct op de site en kan je NAW gegevens invullen. Ondertussen ontvang ik email en zo krijg ik controle over het account.

Dit is geen foutje maar een bewuste keuze. Daarom mijn vraag waar ik dit kan melden zodat het bedrijf er iets aan moet doen.

Lijkt het je niet een vanzelfsprekende keuze om dit bij het bedrijf in kwestie te melden zodat ze de procedures kunnen aanpassen? Je punt hier is dus dat je een account eerst zelf moet activeren voordat je de kans krijgt meer daadwerkelijke gegevens in te vullen.

CyberFly schreef op woensdag 29 mei 2019 @ 15:36:
Ik heb een heel algemeen emailadres <voornaam><achternaam>@email.nl. Nu blijkt dat verschillende naamgenoten moeite hebben met met het invullen van hun eigen email tijdens het aanmaken van accounts met gevoelige gegevens.

Ik heb hetzelfde. Ik heb nog een oud hotmailadres uit 1999 en ook daar krijg ik nog steeds met enige regelmaat bestemd voor anderen: een keer een factuur van €1500 voor rijlessen. Zelfs een keer een concept-rouwkaart voor een overledene die niets met mij te maken heeft. Een mailtje van een kindje aan haar vader (heel schattig). Bestelde kaartjes voor 4 personen naar een dierentuin. Zelfs een keer een foto van een vrouw die zei "nou, dit ben ik dus, zeg maar wat je er van vindt". Heel raar allemaal. Soms antwoord ik erop (zoals bij die factuur van de rijschoolhouder, de voornaam van de persoon op de factuur klopte ook niet met de mijne, en ook naar het kindje heb ik gereageerd dat ze een prachtige tekening had gemaakt en dat haar vader er vast heel blij mee zou zijn maar dat ze dat even aan haar mama moest vragen, of naar de uitvaartverzorger dat ze de verkeerde hadden gemaild) maar soms heb ik ook geen zin er nog op te reageren. Het is wel fascinerend wat je allemaal tegenkomt, maar ik zou ook wel eens willen dat het afgelopen was.

Wat doe je als een brief ontvangt op jouw adres die niet voor jou bedoeld is? Dan stuur je die terug naar de afzender met de opmerking dat het verkeerd is geadresseerd. Hetzelfde doe je hier dus ook.

Ik begrijp niet zo goed wat de TS wilt. Je hebt blijkbaar al een visie op hoe het bedrijf het volgens jou hoort in te richten, namelijk met een authenticatie mail, maar je wilt geen contact opnemen met het bedrijf.

Dit is geen foutje maar een bewuste keuze. Daarom mijn vraag waar ik dit kan melden zodat het bedrijf er iets aan moet doen.

Bij het bedrijf! En het blijft een aaname van jouw kant, zolang je dit niet bespreekt met het bedrijf.

CyberFly schreef op woensdag 29 mei 2019 @ 16:26:
[...]


Je leest niet goed.

Gebruikers maken een account ZONDER controle. Ze vullen een email en password in, daarna zijn ze direct ingelogd op de site en gaan ze gevoelige informatie invoeren.

Hoe voorkom je dat?
Door een activatie mail te sturen.

NAW vul je over het algemeen in hetzelfde formulier in. Inloggen terwijl je weet dat je fout zit.. dat is eerder strafbaar dan dat dit een datalek zou zijn.

Dus toen je de link kreeg, wetende dat hij niet voor jou is, klikte je er toch maar op?

Verwijderd schreef op woensdag 29 mei 2019 @ 17:28:
Het is wel fascinerend wat je allemaal tegenkomt, maar ik zou ook wel eens willen dat het afgelopen was.

Heel herkenbaar. Ik krijg regelmatig mail gericht aan anderen, op %algemenenaam%@gmail.com die ik in 2004 registreerde in de Gmail-pilotfase. Medische recepten en dossiers. Interne verkoopcijfers van een groot bedrijf. Vele afschriften van de aanschaf van porn ebooks (die dus ook in mijn 'Google shopping' overzicht verschijnen). Vliegtickets. Afgelopen week een heads-up dat die andere %algemenenaam% op werkadres 'is gehackt' dus mails moesten worden genegeerd. Men blijft maar dezelfde fout maken en mij mailen.

Ik denk dat het steeds wel een datalekje is ja. Meld bij de afzender. Maar niet per se een die aan de Autoriteit Persoonsgegevens (of buitenlandse tegenhanger) hoeft te worden gemeld.

Als er daadwerkelijk een account wordt aangemaakt zonder de mail validatie, zoals dat in mijn geval bij o.a. Amazon is gebeurd terwijl Amazon in mijn geval er verder niets mee lijkt te willen doen, ik overweeg dan maar de account van die ander op te heffen en hij dus alle gekochte ebooks kwijt raakt , dat wordt op een gegeven moment wel een meldwaardig datalek, me dunkt.